Спецпроекты

На облако «Яндекса» поставили российскую DDoS-защиту

3982
Безопасность Интернет Веб-сервисы Облачные технологии
Благодаря технологии Qrator, трафик «Яндекс.Облака» очищается двумя потоками: мусор из Рунета фильтруется внутри «Яндекс.Облака», зарубежный хлам чистит внешняя сеть Qrator.

Нас не заDDoSят

«Яндекс» и Qrator Labs объявили о запуске новой услуги Yandex DDoS Protection для защиты приложений публичной инфраструктуры «Яндекс.Облако» от DDoS-атак.

Технология защиты от DDoS-атак, разработанная российским технологическим стартапом Qrator Labs, базируется на пропускании трафика через собственную сеть. В процессе алгоритмы Qrator полностью очищают трафик о «мусора» и ботов.

В рамках сервиса Yandex DDoS Protection функциональность технологии Qrator реализована в расширенном виде, где возможности внешней опорной сети Qrator сочетаются со специализированным оборудованием непосредственно внутри «Яндекс.Облака».

За счет этого очистка трафика «Яндекс.Облака» производится двухпоточным методом. Так, фильтрационные площадки Qrator в инфраструктуре «Яндекс.Облака» осуществляют полную очистку локального трафика в национальном сегменте интернета от «мусора» и аномалий.

В то же время, защиту облачных ресурсов от атак трафиком из других странах мира обеспечивает внешняя многотерабитная сеть Qrator, которая в состоянии обрабатывать гигантские пакеты с мгновенной фильтрацией самых распространенных DDoS-атак.

«Уровень запросов наших пользователей к возможностям по защите своей инфраструктуры в Облаке достаточно высокий. Понимая это, мы выделяем безопасность в отдельный приоритет. Наше сотрудничество с Qrator Labs позволило предоставить широко известную и популярную услугу защиты от атак DDoS в формате сервиса, интегрированного в платформу «Яндекс.Облако» и доступного пользователям по одному клику», – отметил Олег Коверзнев, директора по развитию бизнеса «Яндекс.Облако».

Как это работает

Сервис Yandex DDoS Protection включается в момент запуска облачного ресурса. Его работа применяется к публичным IP-адресам виртуальных машин, сетевых балансировщиков и хостов баз данных, размещенных в «Яндекс.Облаке».

Входящий трафик защищаемых ресурсов полностью проходит через узлы фильтрации сети Qrator. С технической точки зрения подключение клиентов производится изменением записи DNS, направляющей трафик на узлы фильтрации Qrator.

Эти узлы используют технологию BGP anycast для анонсирования своих адресов. После анализа, вне зависимости от наличия атаки, очищенный трафик перенаправляется на защищаемый ресурс. В случае необходимости защиты подсетей клиента к BGP anycast могут быть добавлены и соответствующие клиентские префиксы.

Сервис Yandex DDoS Protection автоматически «очищает» трафик на втором и третьем уровнях сетевой модели OSI. В дополнение, он также защищает от атак вида SYN-флуд.

Постоянный мониторинг всего входящего трафика позволяет определить нормальный профиль трафика для каждого ресурса и в случае DDoS-атак или любых отклонений реагировать на это практически в реальном времени, без какого-либо вмешательства со стороны пользователя.

Сеть Qrator изначально рассчитана на работу под постоянным прессингом большого числа DDoS-атак. Узлы фильтрации Qrator Labs подключены к каналам крупнейших магистральных интернет-провайдеров США, России, Западной и Восточной Европы, Юго-восточной Азии. В отличие от сетей операторов хостинга (особенно, виртуального), сеть Qrator спроектирована в расчете на экстремальные нагрузки, и атака на ресурс одного из клиентов не влияет на работоспособность сайтов других клиентов.

Все узлы сети Qrator работают независимо. В случае выхода из строя одного из узлов сети, трафик будет автоматически перемаршрутизирован на другой ближайший узел фильтрации.

Схема работы внешней сети Qrator

Сеть Qrator обладает около 1000 Гбит/с пассивной полосы пропускания (детерминированная обработка IP-пакетов без установления TCP-соединения), и более 300 Гбит/с активной полосы пропускания - каждое входящее TCP-соединение обрабатывается и анализируется. Для сети характерно менее 5% ложных срабатываний в процессе отражения DDoS-атаки.

Время обучения сети Qrator от момента подключения нового клиента составляет менее 2 часов, при этом в 33% случаев – до 4 минут. И в 60% случаев – от 5 минут до 1 часа.

Добавленное время задержки при проксировании трафика нормируется в пределах от 0 до 100 мс. В случае проксирования HTTP-трафика в силу использования persistent HTTP-соединений с защищаемым сервисом возможен прирост скорости работы защищаемого сервиса.

О компании Qrator Labs

Qrator Labs основана в 2009 г. Основной профиль компании – противодействие DDoS-атакам в комплексе с решениями WAF (Web Application Firewall) по технологии партнера Wallarm.

Эффективное противодействия DDoS-атакам в Qrator Labs выстраивается на данных собственного сервиса глобального мониторинга интернета –Qrator.Radar.

Помимо ряда центров обработки данных в России, компания также располагает собственными центрами в городах Сан-Хосе, Даллас и Эшборн (США), Амстердам (Голландия), Франкфурт (Германия); в Казахстане, Гонконге и Сингапуре.

Список клиентов Qrator Labs включает множество компаний из различных отраслей и стран мира.

Помимо «Яндекса», Qrator Labs сотрудничает в России с «Тинькофф Кредитные Системы», Росбанком, ВТБ, Райффайзенбанком, Qiwi, Cyberplat, Элекснет, Avito, Lamoda, «Эльдорадо», Wildberries, «Ситилинком», МИА «Россия Сегодня», «Регнум», авиакомпаниями «Победа» и S7 Airlines, и многими другими.

Команда Qrator Labs занимается исследованиями в области противодействия DDoS-атакам с 2006 года, и постоянно совершенствует уникальные алгоритмы фильтрации, которые строятся с использованием технологий машинного обучения. Это позволяет фильтрам оперативно реагировать на новые типы угроз в автоматическом режиме.

О «Яндекс.Облаке»

Публичный облачный сервис «Яндекс.Облако» был запущен в России в сентябре 2018 г. Все ЦОДы «Яндекс.Облака» расположены в России.

В «Яндекс.Облако» объединены инфраструктурные и платформенные сервисы «Яндекса»: масштабируемая виртуальная инфраструктура, сервисы управления базами данных, распознавание и синтез речи, а также машинный перевод и многое другое.



Стратегия месяца

Как Пулково превращают в цифровой аэропорт

Леонид Сергеев

генеральный директор аэропорта Пулково

Технология месяца

Можно ли защититься от 90% кибератак одним решением